نسخة مزيفة من تطبيق فك الملفات 7-Zip تهاجم حواسيب المستخدمين

كشفت تحليلات أمنية حديثة عن حملة خبيثة تستغل شعبية برنامج فك الملفات المضغوطة مفتوح المصدر 7-Zip في إنشاء موقع يحمل اسم نطاق مطابق شكليًا للموقع الرسمي، ما يتيح نسخة من التطبيق مصحوبة ببرمجية خبيثة.

وأفاد موقع Malwarebytes لأمن المعلومات، بأن النسخة الخبيثة لا تكتفي بتثبيت نسخة من البرنامج، بل يعمل في الخلفية على تحويل الأجهزة المصابة إلى نقاط "بروكسي" ساكنة، تُستخدم لتمرير حركة الإنترنت عبر عناوين IP الخاصة بالضحايا لصالح أطراف خارجية، دون علمهم أو موافقتهم.

بدأ الكشف عن الحملة بعد منشور لأحد مُجمّعي الحواسيب على مجتمع r/pcmasterrace في منصة ريديت، أعرب فيه عن صدمته بعد اكتشافه أنه ثبت برنامج 7-Zip من الموقع الخطأ، موضحاً أنه خلال متابعته شرحًا على منصة "يوتيوب" لتجميع جهاز جديد، طُلب منه تثبيت البرنامج من نطاق 7-Zip . com، بينما الموقع الرسمي الوحيد للمشروع هو 7-Zip.org.

وأضاف أنه ثبت الملف أولًا على حاسوب محمول، ثم نقله إلى جهاز مكتبي جديد عبر ذاكرة USBK وأثناء التثبيت استقبل رسائل متكررة تتعلق بعدم التوافق، ما دفعه في النهاية إلى التخلي عن المُثبّت والاعتماد على أدوات فك الضغط المدمجة في نظام ويندوز.

غير أن الأمر لم ينتهِ عند هذا الحد، إذ بعد نحو أسبوعين، أطلقت خدمة الحماية الأساسية على ويندوز Microsoft Defender تنبيهًا يرصد تهديدًا عامًا تحت اسم Trojan:Win32/Malgent!MSR، ما يعني أن الجهاز كان تعرّض للاختراق بالفعل.

تعكس هذه الواقعة كيف يمكن لتحايل بسيط في اسم النطاق الخاص بموقع إلكتروني أن يفتح الباب أمام استغلال طويل الأمد، حين ينجح المهاجمون في انتحال هوية موزعي البرمجيات الموثوقة.

لم تعتمد الحملة على استضافة ملف ضار في موقع مجهول، بل أنشأت نطاقًا شبيهًا رسميًا ووفرت من خلاله مُثبّتًا يحمل توقيعًا رقميًا من نوع Authenticode باستخدام شهادة أُلغيت لاحقًا، صادرة باسم Jozeal Network Technology Co., Limited، ما أضفى عليه مظهرًا شرعياً.

خلال عملية التثبيت، يجري نشر نسخة معدلة من ملف التثبيت تعمل بصورة طبيعية، وهو ما يقلل من احتمالات إثارة الشكوك لدى المستخدم.

وفي الوقت نفسه، تثبت البرمجية في الخلفية 3 ملفات خبيثة، أحدها يعمل كمدير خدمات ومحمّل تحديثات، وآخر يمثل الحمولة البرمجية الأساسية، إضافة إلى المكتبة الداعمة، وجميعها تُكتب داخل مسار مجلد يتمتع بامتيازات مرتفعة ونادرًا ما يخضع للفحص اليدوي، لأنه يقع مباشرة داخل ملفات نظام ويندوز.

كما رُصدت قناة تحديث مستقلة عبر نطاق فرعي تابع للموقع المزيّف، ما يشير إلى قدرة المشغّلين على تحديث البرمجية الخبيثة بصورة منفصلة عن المُثبّت الأصلي، وبالتالي الحفاظ على نشاطها لفترات ممتدة.

من أبرز الجوانب المثيرة للقلق في هذه الحملة اعتمادها على الثقة المتبادلة في منظومات المحتوى، إذ تحولت بعض مقاطع يوتيوب التعليمية، دون قصد، إلى وسيلة غير مباشرة لنشر البرمجية الخبيثة بسبب الإشارة إلى نطاق خاطئ، ويُظهر ذلك كيف يمكن للمهاجمين استغلال أخطاء طفيفة في محتوى مشروع لتوجيه أعداد كبيرة من المستخدمين إلى بنية تحتية ضارة.

أظهر التحليل السلوكي أن عملية الإصابة تنفذ بسرعة وبخطوات منظمة تبدأ بنشر الملفات الخبيثة داخل مجلد SysWOW64، ما يتطلب امتيازات مرتفعة ويشير إلى رغبة في دمج عميق داخل النظام.

بعد ذلك، تُسجَّل الملفات التنفيذية كخدمات ويندوز تعمل تلقائيًا عند بدء التشغيل بامتيازات SYSTEM، ما يضمن تنفيذها في كل مرة يُعاد فيها تشغيل الجهاز.

ولتعزيز قدرتها على العمل دون عوائق، تستخدم البرمجية أداة برمجية لحذف قواعد جدار الحماية وإنشاء قواعد جديدة تسمح بالاتصالات الواردة والصادرة لملفاتها، الأمر الذي يسهّل حركة الشبكة ويضمن وصول التحديثات من خوادم التحكم التابعة للمخترقين.

وتجمع البرمجية معلومات تفصيلية عن الجهاز، بما يشمل خصائص العتاد والذاكرة والمعالج والأقراص وإعدادات الشبكة.

رغم أن السلوك الأولي قد يوحي بوجود باب خلفي، إلا أن التحليل المتعمق كشف أن الوظيفة الأساسية للبرمجية تتمثل في تشغيل خدمة Proxyware، إذ يُدرج الجهاز المصاب كنقطة ضمن شبكة تستخدم لتمرير حركة الإنترنت عبر عنوان IP الخاص بالضحية، ما يصعب عملية التتبع.

وأكد الموقع أن أي جهاز تثبت التطبيق من عنوان 7Zip . com يمكن اعتباره مخترقًا، ورغم أن البرمجية تنشئ استمرارية بامتيازات SYSTEM وتُعدّل قواعد جدار الحماية، فإن حلول الحماية الموثوقة قادرة على اكتشاف المكونات الخبيثة وإزالتها.

وينصح الخبراء بضرورة التأكد من تثبيت البرمجيات من نطاقاتها الرسمية وحفظها في المفضلة، والتعامل بحذر مع شهادات التوقيع الرقمي غير المتوقعة، ومراقبة إنشاء خدمات ويندوز غير مصرح بها، ومتابعة تغييرات قواعد جدار الحماية، إضافة إلى حظر نطاقات التحكم والسيطرة المعروفة على مستوى الشبكة.